Ein LG-Monitor gilt als das harmloseste Hardware-Update überhaupt, doch unter Windows kommt am Kabel Software mit, die niemand angefordert hat und die sich nicht dauerhaft entfernen lässt.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Ein Nutzer eines LG UltraGear hat auf seinem Rechner einen Zeitstempel gefunden, den er selbst nie ausgelöst hat: 17. Januar 2026, 20:51 Uhr, Installation einer Anwendung aus dem Microsoft Store, angestoßen von Windows Update. Die anschließende Analyse der Treiberdateien zeigt einen Mechanismus, der jedes verwaltete Windows-Gerät betrifft.

Das Wichtigste in Kürze

  • LG liefert über Windows Update zwei Treiberpakete aus, die gar keinen Treiber installieren, sondern nur eine Store-App nachladen.
  • In der gesamten Kette erscheint kein Bestätigungsdialog und keine Store-Seite.
  • Deinstallieren hilft nicht dauerhaft, weil die Pakete im DriverStore verbleiben.
  • Die passende Gruppenrichtlinie existiert seit Jahren, greift aber nicht in Windows Home.

Wie kommt die App ohne Klick auf den Rechner?

VGA-Stecker auf Papierrolle mit Text: „Ohne Ihre Zustimmung installiert“ und „Gratis dazu“ orange
Windows installiert für LG-Monitore zwei signierte Pakete ohne echte Gerätetreiber, die über eine Software-ID ein Phantom-Gerät registrieren

Umweg über ein Phantom-Gerät. Windows erkennt den angeschlossenen Bildschirm anhand seiner Hardware-ID. Passend dazu stellt Windows Update zwei signierte Pakete bereit, lgmonitorappextension.inf und lgmonitorappsoftwarecomponent.inf.

Beide enthalten keinen Gerätetreiber im eigentlichen Sinn. Das zweite Paket trägt lediglich die Zeile SoftwareID=pfn://LGElectronics.LGMonitorApp, also einen direkten Verweis auf ein Store-Paket[1].

Kein Dialog, kein Klick. Windows legt daraufhin ein synthetisches Gerät an, das physisch nicht existiert, und dieses Gerät löst die Installation der App aus. Weil alles über die Treiber-Pipeline läuft, greift die übliche Bestätigung des Microsoft Store an keiner Stelle. Branchenmedien berichten übereinstimmend, dass die App auf vielen Systemen als Erstes einen 30-Tage-Test von McAfee bewirbt.

Warum bringt Deinstallieren nichts?

Die Ursache bleibt liegen. Das Entfernen der App löscht nur das Ergebnis. Die beiden Treiberpakete bleiben im DriverStore, und beim nächsten Anschluss des Monitors oder beim nächsten Durchlauf von Windows Update entsteht das Phantom-Gerät erneut.

Das Muster ist nicht neu. Dieselbe Klasse von Hersteller-Software hat drweb.de schon beschrieben, als das vorinstallierte MSI Center weitreichende Systemrechte vergeben hat. Nach denselben Berichten nutzen auch die Begleit-Apps von Alienware und Asus diesen Weg.

Der Kern ist deshalb kein LG-Problem, sondern ein offener Nebeneingang in Windows. Wie schnell daraus ein echtes Sicherheitsproblem entsteht, hat der Fall gezeigt, bei dem ein sechs Jahre alter Bug Windows 11 auf SYSTEM-Ebene geknackt hat.

Eine Installation ohne Bestätigung ist kein Komfortmerkmal, sondern eine Vertrauensfrage: Betriebe müssen wissen, was auf ihren Rechnern läuft, und zwar bevor es läuft.

— Markus Seyfferth, Chefredakteur Dr. Web
Vom Monitorkabel zur Werbe-App

Was beim Anschluss eines LG-Monitors unter Windows passiert

Monitor
2
Treiberpakete, die keinen Treiber mitbringen
Warnung
0
Bestätigungsdialoge vor der Installation
Schild
12
LG-Monitormodelle, die die Kette laut INF-Datei auslösen
Einstellungen
2024
Seit November laufen Beschwerden in Microsofts Forum

Die Installationskette in vier Schritten

  1. Monitor erkannt. Windows meldet das Gerät als DISPLAY\GSM776F.
  2. Windows Update liefert zwei signierte Pakete aus, die auf diese Hardware-ID passen.
  3. Ein Phantom-Gerät entsteht mit der Hardware-ID SWC\GSM9E8C, das physisch nicht existiert.
  4. Das Phantom-Gerät zieht die Store-App per Package-Family-Name-Verweis nach, ohne Store-Seite und ohne Klick.

Was sollten IT-Verantwortliche jetzt tun?

Zwei Hebel, zwei Wirkungsgrade. Microsoft hat für genau diesen Fall eine Richtlinie im Programm. Sie heißt „Automatisches Herunterladen von Anwendungen aus Gerätemetadaten verhindern“ und liegt unter Computerkonfiguration, System, Geräteinstallation[2].

Der zweite, härtere Hebel sind die Geräteinstallations-Einschränkungen. Damit lässt sich die Hardware-ID des synthetischen Geräts sperren, sodass es gar nicht erst entsteht.

Die Lücke für kleine Betriebe. Beide Richtlinien setzen Windows Pro, Enterprise oder Education voraus. Auf Geräten mit Windows Home bleibt nur der Dialog „Geräteinstallationseinstellungen“ in der Systemsteuerung, und genau dort stehen in vielen kleinen Unternehmen die Rechner der Geschäftsführung.

Sinnvoll ist deshalb eine Bestandsaufnahme, wie sie auch die Cybersecurity-Grundlagen für KMU beschreiben: Welche Windows-Editionen laufen im Betrieb, und welche Hersteller-Apps sind unbemerkt dazugekommen? Wie sich daraus eine Systematik bauen lässt, zeigt der Beitrag darüber, was ein Threat Model für KMU ausmacht. Begriffe wie DriverStore oder Package Family Name erklärt das Cybersecurity-Glossar.

In Microsofts eigenem Forum stehen die ersten Beschwerden zur LG-App seit November 2024 ohne Antwort[3]. Die Auseinandersetzung um Zustimmung führen Hersteller derzeit an vielen Stellen gleichzeitig, zuletzt als Samsung Health mit der Löschung von Daten gedroht hat, falls Nutzer das KI-Training ablehnen.

Prüfen Sie im Geräte-Manager unter „Softwarekomponenten“, ob dort Einträge ohne zugehöriges Gerät auftauchen, und setzen Sie die Metadaten-Richtlinie im Standard-Image, bevor der nächste Monitor ausgepackt wird.

Quellen

[1] Win11Debloat, Issue 694: „Add detection/removal for LG Monitor App“

[2] Microsoft Learn: „DeviceInstallation Policy CSP“

[3] Microsoft Tech Community: „Windows 10/11 Auto installing LG Monitor App Installer“

Mehr Newshunger?

4,3 18 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?